Sigurnosna ranjivost koju je Apple zakrpio ranije ove godine mogla je omogućiti korisnicima daljinski pristup čitav iPhone preko Wi-Fi-ja bez potrebe za bilo kakvom interakcijom korisnika, ima sigurnosni istraživač otkriveno.
Ian Beer, istraživač u Googleovoj jedinici za istraživanje ranjivosti Project Zero, podijelio je u utorak detalje o ranjivosti. Proveo je šest mjeseci razvijajući dokaze o konceptu kako bi dokazao njegovu učinkovitost. Srećom, ne vjeruje da su hakeri u divljini ikada iskoristili sličan pothvat.
Potencijalno razarajuća ranjivost
Pivo dijeli pojedinosti o ranjivosti u a Post na blogu od 30.000 riječi koji je objavio ovaj tjedan. Opisuje način na koji je napadač mogao daljinski pristupiti iPhoneu pomoću loših Wi-Fi paketa. To bi potencijalno mogli iskoristiti za špijuniranje korisnika ili bilo koje druge aktivnosti.
Hakiranje funkcionira tako što se u upravljačkom programu za upravljački program Appleovog vlasničkog mrežnog protokola AWDL mrežice dotakne ranjivo prelijevanje međuspremnika. To je tehnologija koja omogućuje rad Airdropu.
"Zamislite osjećaj moći koji napadač s takvom sposobnošću mora osjetiti", primijetio je Beer. "Dok svi ulijevamo sve više i više svoje duše u ove uređaje, napadač može steći riznicu informacija o neočekivanoj meti."
Od nekoliko podviga koje je Pivo razvilo, najgori je mogao dopustiti napadaču da u potpunosti dobije pristup osobnim podacima korisnika. To bi uključivalo njihovu e -poštu, fotografije, poruke, lozinke i sve kripto ključeve pohranjene u privjesku za ključeve. Napadi bi djelovali samo na uređajima unutar Wi-Fi dometa.
Appleova nagrada za greške
Apple je otklonio grešku prije iOS -a 13.5 još u svibnju. Iako ovo obuhvaća samo korisnike koji su instalirali potrebni zakrpu, Appleova korisnička baza ima dobre rezultate kada je u pitanju nadogradnja na nove verzije iOS -a.
Iako se ranjivosti povremeno provlače kroz rupe, Apple je poduzeo korake kako bi poboljšao pristup zakrpe ranjivosti. Prošlog ljeta Apple je predstavio svoju novi, poboljšani program nagrađivanja bugova na konferenciji Black Hat u Las Vegasu. Apple će platiti do milijun dolara za otkrivanje određenih propusta u svom softveru. Nagrada od milijun dolara zahtijeva od osobe da otkrije napad nuklearnog koda jezgre s punim lancem. Nagrada od 500.000 USD daje se za otkriveni mrežni napad koji ne zahtijeva interakciju korisnika. Apple će uručiti bonus od 50 posto za ranjivosti pronađene u softveru prije njegovog širokog objavljivanja.
Preko: ArsTechnica